Dunning-Kruger-Effekt: Wenn Selbstüberschätzung die IT-Sicherheit gefährdet!

Die Bedrohungssituation (Artikel) durch Angriffe im Internet ist so groß wie noch nie. Trotz jener Gegebenheit sind nur die allerwenigsten Unternehmen ganzheitlich gegen äußere und interne Gefahren gewappnet. Ein häufig unterschätzter Anreiz ist, dass viele Firmen die Risiken sowie Auswirkungen von Internetangriffen und Sicherheitslücken verkennen und somit keinen ausreichenden Beweggrund sehen, in eine umfassende IT-Sicherheitsstrategie einzuzahlen. Jene kognitive Fehleinschätzung wird in der Psychologie auch als Dunning-Kruger-Effekt bezeichnet. Was sich dahinter versteckt, welche Auswirkungen er auf die IT-Sicherheit hat und wie Firmen diesen umgehen bzw. reduzieren können, erfahren Sie im folgenden Blogbeitrag.

Der steigende Einsatz digitaler Technologien bewirkt seit Jahren eine tiefgreifende Veränderung der Businesswelt. Binnen kürzester Zeit wurden bis dato bewährte sowie erfolgreiche Geschäftsmodelle wie auch Geschäftsstrategien abgewertet, neue Geschäftsanforderungen formuliert und der geschäftliche Triumph in vielen Gebieten ausgeweitet. Zeitgleich hat der Wandel zu einer Entgrenzung der Kriminalität geleitet. Durch die steigende Diversität netzfähiger Endpunkte, digitaler Portale und neuer Technologien öffnen sich bösartigen Akteuren inzwischen eine Vielzahl neuartiger Modi Operandi mit enormen Schadenspotenzialen.

Obwohl inzwischen 84 Prozent (Artikel) der Firmen hierzulande von Internetkriminalität berührt sind, stagnieren an vielen Orten die Ausgaben für eine IT-Sicherheit. Ein Auslöser: Etliche Firmen haben eine fehlerhafte Perzeption ihres IT-Schutzes. Somit werden die hausinternen IT-Sicherheitsfähigkeiten des Unternehmens wegen schon implementierter IT-Sicherheitsmaßnahmen oft überbewertet und die tatsächlichen Gefahren des eigenen Unternehmens übersehen oder unterschätzt. In der Psychologie redet man in ebendiesem Fall auch von einem sogenannten Dunning-Kruger-Effekt.

Was versteht man unter einem Dunning-Kruger-Effekt?

Kurz erfasst, dreht es sich beim Dunning-Kruger-Effekt um ein Phänomen, bei dem Menschen eine übermäßige Selbstüberschätzung ihrer Fähigkeiten haben, vor allem in Bezug auf ihr Wissen sowie ihre Fähigkeiten in einem speziellen Gebiet. Das Resultat ist, dass sich diese Menschen fälschlicherweise für qualifizierter halten als sie in der Tat sind und unter anderem Schwierigkeiten haben, sich objektiv zu beurteilen und Fehler machen, welche sich negativ auf ihre Leistungen auswirken können.

Der Dunning-Kruger-Effekt ist auf die Erkenntnisse der beiden Psychologen David Dunning sowie Justin Kruger zurückzuleiten. Jene führten 1999 Untersuchungen bezüglich der Selbstüberschätzung sowie Außendarstellung von Personen mit einem erhöhten Selbstwertgefühl durch. Die beiden Wissenschaftler kamen zu dem Ergebnis, dass Menschen mit kleinem Wissen sowie wenig Qualifikation häufig dazu tendieren, sich selbst zu überschätzen. Diesen mangelt es an ausreichender Selbstreflexion, um ihre Position objektiv bewerten zu können sowie zu erkennen, dass andere ihnen kognitiv überlegen sind.

Die Selbstüberschätzung der Inkompetenten!

Dem Dunning-Kruger-Effekt läuft man nahezu überall über den Weg. Das vermutlich imposanteste Dunning-Kruger-Effekt-Exempel zeigt sich in der Kriminalgeschichte: Im Jahr 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Hierbei verzichtete er auf jedwede Art von Maskierung, obwohl die Banken kameraüberwacht waren. Als sich danach die Handschellen schlossen, war die eigene Verwunderung beachtlich. Anscheinend war er überzeugt davon, dass ihn Zitronensaft für die Überwachungstechnik der Banken unsichtbar machen würde. Nach dem gleichen Konzept funktioniert bekanntermaßen auch eine „Zaubertinte". Ebenso bekannte Paradebeispiele für den Dunning-Kruger-Effekt sind:

• Fußballfans, die oftmals meinen, mehr taktisches Bewusstsein und Ahnung vom Spiel zu haben als die kompetenten Trainer
• Das Gros der Autofahrer, welche denken, merklich richtiger zu fahren als der Standard.
• Wähler, welche besser wissen, was für deren Land das Richtige ist und dass sie das Land richtiger regieren könnten als die aktuelle Regierung

Mangel an IT-Sicherheitsbewusstsein kann fatal sein!

So eine Art der Fehleinschätzung kann hauptsächlich im Bereich der IT-Sicherheit eines Unternehmens fatale Folgen haben:

• Erhöhtes Sicherheitsrisiko: Durch das Überbewerten der persönlichen Kompetenzen und Fachkenntnisse in Bezug auf IT-Gefahren können Mitarbeiter*innen leichter von Phishing-Angriffen reingelegt werden sowie unsichere Passwörter benützen, was wiederum das Risiko von Sicherheitsverletzungen maximieren kann.
• Mangelhafte Sicherheitskonfigurationen: Wenn Menschen ihre eigene Begabung, Netzwerke mit Sicherheit zu konfigurieren, überschätzen, kann das zu mangelhaften Sicherheitskonfigurationen leiten, die die Gefahr von Angriffen erhöhen.
  Unsichere Software-Installationen: Wenn Leute die persönliche Kompetenz, geschützte Software-Installationen durchzuführen, überschätzen, könnten sie schadende Software installieren oder Sicherheitsupdates ignorieren, was die Gefahr von Angriffsversuchen steigern kann.
• Unsichere Datenspeicherung: Wenn Leute die persönliche Fähigkeit, sichere Datenspeicherungspraktiken zu beachten, überschätzen, können sie wichtige Daten ungeschützt sichern oder sie auf unsicheren Geräten abspeichern, was die Gefahr von Datenverlust oder Datendiebstahl erhöhen kann.
• Mangelnde Wachsamkeit: Wenn Menschen ihre eigene Kenntnis, Gefahren in der IT-Sicherheit zu erkennen, überschätzen, könnten jene Phishing-Angriffe oder sonstige Bedrohungen übergehen, was ein Risiko von Angriffen erhöhen kann.
• Mangelhafte Compliance: Arbeitnehmer können sich nicht der Compliance-Regeln bewusst sein oder diese nicht beachten, weil sie glauben, dass sie diese nicht befolgen müssen oder nicht verstehen, wie sie jene befolgen sollen. Dies könnte zu schwerwiegenden Konsequenzen führen, wenn das Unternehmen gegen Gesetzmäßigkeiten oder Vorschriften verstößt.

Wie Sie das Risiko von Selbstüberschätzung minimieren!

Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu vermeiden, gibt es einige Maßnahmen, die genutzt werden könnten:

• Regelmäßige Aufklärung und Sensibilisierung: Es ist wichtig, dass Menschen über den Dunning-Kruger-Effekt und seine Konsequenzen aufgeklärt werden, mit dem Ziel, dass sie die eigenen Fähigkeiten realistisch einschätzen können.
• Realistische Einschätzung der eigenen Fähigkeiten: Es ist essenziell, dass Menschen eine realistische Beurteilung der persönlichen Fähigkeiten haben und keinesfalls versuchen, Arbeiten zu übernehmen, die sie nicht bewältigen können.
• Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist essenziell, dass man sich an geregelte Sicherheitsrichtlinien und -verfahren hält, um das Risiko von Sicherheitsverletzungen zu reduzieren.
• Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es bedeutend, dass Menschen untereinander kommunizieren wie auch kooperieren, um Risiken zu minimieren sowie die Sicherheit zu maximieren. Dazu gehört auch, dass man sich gegenseitig anerkennt sowie unterstützt.
• Risikomanagement: Ein entscheidender Teil der IT-Sicherheit ist das Risikomanagement, bei dem Risiken überprüft und Mittel ergriffen werden, um diese Risiken zu minimieren oder zu eliminieren. Dazu gehört ebenso, dass man die Kenntnisse sowie Skills der einzelnen Teammitglieder berücksichtigt und entsprechende Maßnahmen ergreift.

Fazit: Halbwissen ist nicht nur gefährlich, sondern ganz gefährlich!

Grundsätzlich lässt sich sagen, dass der Dunning-Kruger-Effekt im Bereich der IT-Sicherheit ein ernstzunehmendes Thema ist, das es zu umgehen gilt. Durch geregelte IT-Sicherheitsschulungen können Unternehmen das Wissen sowie die Kenntnisse ihrer IT-Teams und Mitarbeiter*innen in Hinsicht auf IT-Sicherheit aufbauen und gewährleisten, dass diese auf dem modernsten Niveau sind. Auf diese Weise können sie garantieren, dass ihre IT-Teams wie auch Mitarbeiter*innen gut vorbereitet sind, um möglichen externen und internen Gefahren entgegenzuwirken und die Sicherheit ihrer IT-Systeme zu versichern.

Möchten auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen umgehen? Oder haben Sie noch Anliegen zum Thema? Rufen oder schreiben Sie uns an.